localhost 環境でのテストCA(認証局)作成手順概要

OpenSSL を使って localhost 環境でのテストCAを作成する場合の手順概要です。

Web サーバを SSL 暗号化する場合の全体像をまとめました。

CA局の構築
  • OpenSSL の CA 用のひな型の openssl.cnf を修正します。(デフォルトの demoCA を修正)
  • CA 局用に暗号鍵・秘密鍵ペアを作成します。
  • CA 証明書を作成します。

Webサーバの構築
  • SSL 用の Web サーバを作成します。
  • SSL サイトは VirtualHost で 443 番ポートで用意します。

Webサーバの証明書の作成
  • Web サーバ用に暗号鍵・秘密鍵ペアを作成します。
  • Web サーバで証明書要求(CSR)を発行します。
  • Web サーバの CSR を CA 局でサインします。
  • サインしてできあがったサーバ証明書(CST)を SSL サイトに取り込みます。

クライアントPCでhttpsアクセス
  • CA 証明書をクライアントPCにインポートします。
  • hosts ファイルで URL の名前解決をします。
  • Web サーバに https アクセスします。

証明書の種類
証明書はよく3種類の名前が使われ混同しやすいです。
サーバ証明書やクライアント証明書は CA 局がサインします。

CA 証明書
  • CA 局の証明書です。対になる秘密鍵は証明書要求(CSR)をサインするのに使います。
  • この証明書をクライアントのブラウザにインストールするとブラウザは安全な通信と認識します。
  • CA 局ごとに作成します。
サーバ証明書
  • Web サーバなどのサーバにインストールする証明書です。
  • サーバのサイトごとに作成します。
クライアント証明書
  • 個人のメールを暗号化するといった場合に用意し、PC にインストールします。
  • クライアント(個人)ごとに作成します。

0 件のコメント:

コメントを投稿